ObjectifCyber

Chapitre 2 — Gestion des Comptes & Accès Privilégié (PAM)

La gestion du cycle de vie des comptes et des accès privilégiés est critique. Ce module couvre les types de comptes, le provisionnement/déprovisionnement, PAM, et les politiques de mots de passe.

TypeDescriptionRisque
Utilisateur standardAccès limité aux ressources nécessairesFaible si bien géré
Administrateur localContrôle total sur un seul systèmeÉlevé — souvent même mot de passe partout
Administrateur de domaineContrôle total sur l'AD entierTrès élevé — compromis = compromis total
Compte de serviceUtilisé par des applications/servicesÉlevé — rarement surveillés, mots de passe qui n'expirent pas
Compte partagéPartagé entre plusieurs personnesTrès élevé — pas de responsabilité individuelle
Compte génériqueguest, admin, default — non nominatifTrès élevé — désactiver ou renommer
Compte invitéAccès très limité et temporaireRisque si mal configuré
Mémorisez ! Désactiver les comptes par défaut (guest, administrator), renommer les comptes administrateur, et ne jamais utiliser de comptes partagés pour les accès privilégiés. Chaque personne = un compte nominatif.

Scénario : Un développeur est promu chef de projet puis devient responsable RH. Il conserve ses accès aux systèmes de développement ET aux ressources RH. C'est du permission creep. Solution : révision des accès à chaque changement de poste et révoquer les accès devenus inutiles.

PAM est une solution qui contrôle, surveille et audite l'utilisation des comptes à privilèges élevés.

Astuce Examen

PAM résout le problème des comptes de service : les mots de passe sont gérés automatiquement, personne ne les connaît directement. Si un employé quitte, les credentials restent dans le vault et peuvent être immédiatement révoqués ou rotés.

PolitiqueRecommandation actuelle (NIST SP 800-63)
Longueur minimale12 caractères minimum (NIST recommande 15+)
ComplexitéFavoriser les passphrases longues plutôt que complexité forcée
ExpirationNe PAS forcer l'expiration périodique sauf si compromission détectée
HistoriqueMémoriser les 24 derniers mots de passe pour éviter la réutilisation
VerrouillageVerrouiller après 5-10 tentatives échouées (lockout policy)
StockageJamais en clair — toujours hashé + salé (bcrypt, Argon2)
Mémorisez ! NIST recommande de ne plus forcer l'expiration périodique des mots de passe — les utilisateurs créent des mots de passe prévisibles ("P@ssw0rd1!" → "P@ssw0rd2!"). Mieux vaut un long mot de passe stable qu'un court mot de passe qui change tous les 90 jours.

1. Un employé change de département trois fois en 4 ans et conserve tous ses accès d'origine. Quel problème cela représente-t-il ?

Le permission creep désigne l'accumulation progressive d'accès au fil des changements de rôle. Solution : révision des accès à chaque changement de poste (user access review).

2. Un système PAM génère automatiquement un nouveau mot de passe pour un compte de service toutes les 24h. Quel avantage de sécurité cela apporte-t-il principalement ?

La rotation automatique des mots de passe limite la fenêtre d'exploitation : si un attaquant vole le mot de passe à 14h, il est invalide le lendemain à minuit. Aucun employé ne connaît jamais le mot de passe actuel.

3. Quelle est la pratique recommandée lors du départ d'un employé concernant son compte ?

Désactiver (pas supprimer) pour : préserver l'audit trail, permettre une investigation si nécessaire, récupérer les données. Supprimer immédiatement efface les journaux associés. Ne jamais réutiliser un compte nominatif.

4. Qu'est-ce que l'accès "Just-In-Time" (JIT) dans le contexte PAM ?

JIT Access = pas de standing privileges permanents. L'admin demande un accès, il est approuvé pour une durée limitée (ex: 2h pour effectuer une maintenance), puis automatiquement révoqué. Réduit drastiquement la surface d'attaque.

5. Selon les recommandations NIST SP 800-63, quelle politique de mots de passe est désormais DÉCONSEILLÉE ?

NIST recommande de ne plus forcer l'expiration périodique. Les utilisateurs contournent en faisant des incréments prévisibles (Password1 → Password2). L'expiration ne devrait être déclenchée qu'en cas de compromission détectée.

6. Quel est le principal risque des "comptes partagés" dans un environnement d'entreprise ?

Les comptes partagés brisent la non-répudiation : si 5 personnes utilisent "admin", impossible de savoir qui a fait quoi dans les journaux. Chaque personne doit avoir un compte nominatif.

7. Quel est l'avantage du "coffre-fort de mots de passe" (password vaulting) dans une solution PAM ?

Le password vaulting stocke les credentials chiffrés. L'admin demande l'accès, PAM ouvre la session avec les credentials sans jamais les révéler à l'admin. Même si l'admin est compromis, il ne peut pas exfiltrer des mots de passe qu'il ne connaît pas.

8. Pourquoi les "comptes de service" sont-ils particulièrement à risque ?

Les comptes de service ont souvent des mots de passe qui n'expirent pas (pour ne pas casser les applications), des privilèges élevés, et sont rarement inclus dans les révisions d'accès. L'attaque Kerberoasting les cible spécifiquement.

9. Un administrateur système veut s'assurer que les mots de passe des utilisateurs ne sont pas stockés de manière récupérable en cas de vol de la base de données. Quelle technique devrait-il utiliser ?

Les mots de passe doivent être hachés (pas chiffrés — car le hash est à sens unique) avec un sel unique par mot de passe. Le sel empêche les attaques par rainbow table. bcrypt et Argon2 sont conçus spécifiquement pour les mots de passe (lents intentionnellement).

10. Lors d'une révision des accès (access review), un administrateur découvre 15 comptes d'anciens employés encore actifs. Quelle action doit-il entreprendre en premier ?

Désactiver en premier (urgence sécurité). Ensuite : vérifier les journaux d'activité récente (ont-ils été utilisés après le départ ?), puis suivre les procédures internes. Ne pas supprimer avant investigation complète.